Настройка блокировки системы

Блокировка системы управляет приложениями в группе клиентских компьютеров, блокируя несанкционированные приложения. Можно задать блокировку системы, чтобы разрешались только приложения, указанные в списке. Список разрешенных элементов (белый список) содержит все разрешенные приложения; все остальные приложения на клиентских компьютерах блокируются. Или можно задать блокировку системы так, чтобы блокировались только приложения, указанные в списке. В списке запрещенных элементов (черный список) содержатся все несанкционированные приложения; любые другие приложения на клиентских компьютерах разрешены.
На любые приложения, которые разрешаются модулем блокировки системы, распространяется действие других компонентов защиты в
Symantec Endpoint Protection
.
В списке разрешенных и запрещенных элементов могут содержаться списки идентификационных кодов файлов, а также названия конкретных приложений. Список идентификационных кодов файлов — это список контрольных сумм файлов и путей к файлам.
Можно использовать политику управления приложениями и устройствами, чтобы контролировать конкретные приложения, — вместо блокировки системы или в дополнение к ней.
Блокировка системы настраивается для каждой группы или каждого местоположения в сети.
Шаги блокировки системы
Действие
Описание
Шаг 1. Создание списков идентификационных кодов файлов
Можно создать список идентификационных кодов файлов, содержащий приложения, запуск которых разрешен или запрещен на клиентских компьютерах. Можно добавить список идентификационных кодов файлов в список разрешенных и запрещенных элементов в разделе блокировки систем.
Для выполнения блокировки системы необходим список идентификационных кодов файлов, включающий приложения для всех клиентов, которые требуется разрешить или заблокировать. Например, в сети применяются 32- и 64-разрядные клиенты Windows 8.1 и 64-разрядные клиенты Windows 10. Можно создать список идентификационных кодов файлов для каждого образа клиента.
Список идентификационных кодов файлов можно создать следующими способами.
  • В
    Symantec Endpoint Protection
    есть средство вычисления контрольных сумм для создания списка идентификационных кодов файлов. Это средство устанавливается на клиентском компьютере вместе с
    Symantec Endpoint Protection
    .
    Это средство позволяет вычислять контрольную сумму для конкретного приложения или для всех приложений по заданному пути. С помощью этого способа можно создать идентификационные коды файлов, которые будут использоваться при выполнении блокировки системы в режиме списка запрещенных элементов.
  • Создать список идентификационных кодов файлов для одного компьютера или небольшой группы компьютеров можно с помощью команды "Собрать список идентиф. кодов файлов".
    Команду
    Собрать список идентиф. кодов файлов
    можно выполнить в консоли. Эта команда собирает список идентификационных кодов файлов, включающий все приложения на целевых компьютерах. Например, можно выполнить эту команду на компьютере, на котором выполняется "золотой" образ. Этот способ можно использовать при выполнении блокировки системы в режиме списка разрешенных элементов. Обратите внимание, что список идентификационных кодов файлов, созданный с помощью команды, нельзя изменить. Список идентификационных кодов файлов автоматически обновляется при повторном выполнении команды.
  • Создание списка идентификационных кодов файлов с помощью любого стороннего средства вычисления контрольной суммы.
Если в сети работает
Symantec EDR
, то могут быть показаны списки идентификационных кодов файлов из
Symantec EDR
.
Шаг 2. Импорт списков идентификационных кодов файлов в
Symantec Endpoint Protection Manager
Чтобы использовать список идентификационных кодов файлов в конфигурации блокировки системы, он должен быть доступен в
Symantec Endpoint Protection Manager
.
Списки идентификационных кодов файлов, созданные с помощью средства вычисления контрольных сумм, необходимо вручную импортировать в
Symantec Endpoint Protection Manager
.
Список идентификационных кодов файлов, созданный с помощью команды "
Собрать список цифровых отпечатков файлов
", автоматически становится доступен в консоли
Symantec Endpoint Protection Manager
.
Также можно экспортировать существующие списки идентификационных кодов файлов из
Symantec Endpoint Protection Manager
.
Шаг 3. Создание списков имен приложений для разрешенных или несанкционированных приложений
Для создания текстового файла с именами файлов приложений, которые нужно разрешить или заблокировать, можно использовать любой текстовый редактор. В отличие от списков идентификационных кодов файлов эти файлы импортируются непосредственно в конфигурацию блокировки системы. После импорта этих файлов приложения появятся в виде отдельных записей в конфигурации блокировки системы.
Также можно вручную вводить имена отдельных приложений в конфигурацию блокировки системы.
Если указать очень много имен приложений, это может повлиять на быстродействие клиентского компьютера, когда блокировка системы включена в режиме списка запрещенных элементов.
Шаг 4. Настройка и тестирование конфигурации блокировки системы
В режиме тестирования блокировка системы отключена и приложения не блокируются. Все несанкционированные приложения регистрируются в журнале, но не блокируются. С помощью пункта
Заносить в журнал несанкционированные приложения
в диалоговом окне
Блокировка системы
можно протестировать всю конфигурацию блокировки системы.
Чтобы настроить и провести тестирование, выполните следующие действия:
  • Добавьте списки идентификационных кодов файлов в конфигурацию блокировки системы.
    В режиме списка разрешенных элементов идентификационные коды файлов — это санкционированные приложения. В режиме списка запрещенных элементов идентификационные коды файлов — это несанкционированные приложения.
  • Добавьте имена приложений по отдельности или импортируйте списки имен приложений в конфигурацию блокировки системы.
    Можно импортировать список имен приложений, вместо того чтобы вводить имена по одному в конфигурацию блокировки системы. В режиме списка разрешенных элементов указываются разрешенные приложения. В режиме списка запрещенных элементов указываются несанкционированные приложения.
  • Проведите тестирование в течение некоторого времени.
    Включите блокировку системы в тестовом режиме на такой период времени, чтобы клиенты запустили обычно используемые приложения. Обычно таким сроком является одна неделя.
Шаг 5. Просмотр несанкционированных приложений и изменение конфигурации блокировки системы в случае необходимости
После проведения тестирования в течение некоторого времени можно протестировать список несанкционированных приложений. Можно просмотреть список несанкционированных приложений, проверив статус в диалоговом окне
Блокировка системы
.
Зарегистрированные в журнале события также отображаются в журнале управления приложениями.
Вы можете решить, добавлять ли дополнительные приложения в список идентификационных кодов файлов или список приложений. Также при необходимости можно добавить или удалить списки идентификационных кодов файлов или приложения, прежде чем включить блокировку системы.
Шаг 6. Включение блокировки системы
По умолчанию блокировка системы выполняется в режиме списка разрешенных элементов. Также можно настроить выполнение блокировки системы в режиме списка запрещенных элементов.
При включении блокировки системы в режиме списка разрешенных элементов блокируются все приложения, не указанные в списке разрешенных. При включении блокировки системы в режиме списка запрещенных элементов блокируются все приложения, указанные в списке несанкционированных приложений.
Перед включением блокировки системы убедитесь, что конфигурация проверена. Возможно, что при блокировке нужного приложения клиентские компьютеры не удастся перезагрузить.
Шаг 7. Обновление списков идентификационных кодов файлов для блокировки системы
В дальнейшем можно будет изменять приложения, выполняемые в сети. Списки идентификационных кодов файлов можно по мере необходимости обновлять или удалять.
Существуют следующие способы обновления списков идентификационных кодов файлов.
Может понадобиться повторно провести тестирование всей конфигурации блокировки системы в случае добавления клиентских компьютеров в вашу сеть. Вы можете перенести новых клиентов в отдельную группу либо проверить сеть и отключить блокировку системы. Либо можно оставить блокировку системы включенной и запустить эту конфигурацию в режиме только регистрации. Кроме того, можно протестировать отдельные идентификационные коды файлов или приложения, как показано в следующем шаге.
Шаг 8. Тестирование выбранных элементов перед их добавлением или удалением при включенной блокировке системы
После того как включена блокировка системы, можно тестировать отдельные идентификационные коды файлов, списки имен приложений или конкретные приложения, прежде чем вы добавите их в конфигурацию блокировки системы или удалите их оттуда.
Может понадобиться удалить списки идентификационных кодов файлов, если у вас много списков и некоторые из них больше не используются.
Будьте осторожны при добавлении в блокировку системы или удалении из нее списка идентификационных кодов файлов или конкретного приложения. Добавление или удаление элементов из блокировки системы может быть рискованным. Может получиться так, что вы заблокируете на клиентских компьютерах важные приложения.
  • Протестируйте выбранные элементы.
    Используйте пункт
    Проверить перед удалением
    , чтобы конкретные списки идентификационных кодов файлов или конкретные приложения регистрировались в журнале как несанкционированные.
    При выполнении такой проверки блокировка системы включена, но не блокирует выбранные приложения или выбранные списки идентификационных кодов файлов. Вместо этого блокировка системы регистрирует приложения в журнале как несанкционированные.
  • Проверьте журнал управления приложениями.
    Регистрируемые записи появляются в журнале управления приложениями. Если в этом журнале нет записей для тестируемых приложений, значит клиенты не используют эти приложения.